Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

  • Windows 10 for 32-bit Systems
  • Windows 10 for x64-based Systems
  • Windows 10 Version 1607 for 32-bit Systems
  • Windows 10 Version 1607 for x64-based Systems
  • Windows 10 Version 1709 for 32-bit Systems
  • Windows 10 Version 1709 for ARM64-based Systems
  • Windows 10 Version 1709 for x64-based Systems
  • Windows 10 Version 1803 for 32-bit Systems
  • Windows 10 Version 1803 for ARM64-based Systems
  • Windows 10 Version 1803 for x64-based Systems
  • Windows 10 Version 1809 for 32-bit Systems
  • Windows 10 Version 1809 for ARM64-based Systems
  • Windows 10 Version 1809 for x64-based Systems
  • Windows 10 Version 1903 for 32-bit Systems
  • Windows 10 Version 1903 for ARM64-based Systems
  • Windows 10 Version 1903 for x64-based Systems
  • Windows 10 Version 1909 for 32-bit Systems
  • Windows 10 Version 1909 for ARM64-based Systems
  • Windows 10 Version 1909 for x64-based Systems
  • Windows 7 for 32-bit Systems Service Pack 1
  • Windows 7 for x64-based Systems Service Pack 1
  • Windows 8.1 for 32-bit systems
  • Windows 8.1 for x64-based systems
  • Windows RT 8.1
  • Windows Server 2008 for 32-bit Systems Service Pack 2
  • Windows Server 2008 for 32-bit Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 for Itanium-Based Systems Service Pack 2
  • Windows Server 2008 for x64-based Systems Service Pack 2
  • Windows Server 2008 for x64-based Systems Service Pack 2 (Server Core installation)
  • Windows Server 2008 R2 for Itanium-Based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1
  • Windows Server 2008 R2 for x64-based Systems Service Pack 1 (Server Core installation)
  • Windows Server 2012
  • Windows Server 2012 (Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2012 R2 (Server Core installation)
  • Windows Server 2016
  • Windows Server 2016 (Server Core installation)
  • Windows Server 2019
  • Windows Server 2019 (Server Core installation)

Résumé

[Mise à jour du 15 avril 2020]

Le 14 avril 2020, Microsoft a publié les correctifs de sécurité pour les vulnérabilités CVE-2020-1020 et CVE-2020-0938 à l'occasion de sa mise à jour mensuelle. Le CERT-FR recommande l’application des correctifs dans les plus brefs délais.

Microsoft a également mis à jour son avis ADV200006 pour donner les étapes à suivre pour annuler les effets des mesures de contournement (voir les paragraphes "How to undo the workaround.").

[Publication initiale]

La bibliothèque Adobe Type Manager Library utilisée dans Microsoft Windows assure la gestion des polices de caractère pour le format postscript. Celle-ci est chargée lors de la lecture d'un fichier. La lecture d'un fichier peut être demandée explicitement par l'utilisateur (ouverture d'une pièce jointe) comme implicitement réalisée par un moteur de rendu automatique (prévisualisation de miniatures).

Le 23 mars 2020, l'éditeur a émis un bulletin de sécurité indiquant que cette bibliothèque ne prenait pas correctement en charge le traitement des polices de caractère multi-maîtres. Les deux vulnérabilités associées sont en ce moment exploitées dans la cadre d'un nombre limité d'attaques ciblées. L'éditeur prévoit d'intégrer le correctif dans son cycle régulier de mise à jour.

Ces vulnérabilités peuvent être exploitées en demandant à un utilisateur d'ouvrir un fichier malveillant ou en affichant le document dans l'espace de prévisualisation de l'explorateur de fichier.

Il est à noter que le panneau de prévisualisation de Microsoft Outlook n'est pas impacté par cette vulnérabilité et que l'impact est limité pour les versions de Windows 10 supérieures ou égales à 1703 pour lesquelles la gestion des polices de caractère est gérée dans des conteneurs.

Solution

Se référer au bulletin de sécurité de l'éditeur (cf. section Documentation).

Contournement provisoire

[Mise à jour du 15 avril 2020]

Les correctifs de sécurité sont disponibles depuis le 14 avril 2020, le CERT-FR recommande donc de privilégier leur application par rapport aux mesure de contournement décrites ci-après.

[Publication initiale]

Le CERT-FR recommande d'appliquer les contournements proposés par l'éditeur dans son bulletin de sécurité à savoir :

  • La désactivation du panneau de prévisualisation dans Windows Explorer
  • La désactivation du service WebClient
  • Le renommage ou la désactivation de la bibliothèque ATMFD.DLL

Les deux premières mesures permettent de limiter le chargement automatique de la bibliothèque, mais seul la dernière mesure  permet de contourner la vulnérabilité.

Documentation